1. 網路安全的技術原理
網路安全性問題關繫到未來網路應用的深入發展,它涉及安全策略、移動代碼、指令保護、密碼學、操作系統、軟體工程和網路安全管理等內容。一般專用的內部網與公用的互聯網的隔離主要使用「防火牆」技 術。
「防火牆」是一種形象的說法,其實它是一種計算機硬體和軟體的組合,使互聯網與內部網之間建立起 一個安全網關,從而保護內部網免受非法用戶的侵入。
能夠完成「防火牆」工作的可以是簡單的隱蔽路由器,這種「防火牆」如果是一台普通的路由器則僅能起到一種隔離作用。隱蔽路由器也可以在互聯網協議埠級上阻止網間或主機間通信,起到一定的過濾作用。 由於隱蔽路由器僅僅是對路由器的參數做些修改,因而也有人不把它歸入「防火牆」一級的措施。
真正意義的「防火牆」有兩類,一類被稱為標准「防火牆」;一類叫雙家網關。標准」防火牆」系統包括一個Unix工作站,該工作站的兩端各有一個路由器進行緩沖。其中一個路由器的介面是外部世界,即公用網;而另一個則聯接內部網。標准「防火牆」使用專門的軟體,並要求較高的管理水平,而且在信息傳輸上有一定的延遲。而雙家網關則是對標准「防火牆」的擴充。雙家網關又稱堡壘主機或應用層網關,它是一個單個的系統,但卻能同時完成標准「防火牆」的所有功能。其優點是能運行更復雜的應用,同時防止在互聯網和內部系統之間建立的任何直接的連接,可以確保數據包不能直接從外部網路到達內部網路,反之亦然。
隨著「防火牆」技術的進步,在雙家網關的基礎上又演化出兩種「防火牆」配置,一種是隱蔽主機網關,另一種是隱蔽智能網關(隱蔽子網)。隱蔽主機網關當前也許是一種常見的「防火牆」配置。顧名思義,這種配置一方面將路由器進行隱藏,另一方面在互聯網和內部網之間安裝堡壘主機。堡壘主機裝在內部網上,通過路由器的配置,使該堡壘主機成為內部網與互聯網進行通信的唯一系統。目前技術最為復雜而且安全級別最高的」防火牆」當屬隱蔽智能網關。所謂隱蔽智能網關是將網關隱藏在公共系統之後,它是互聯網用戶唯一能見到的系統。所有互聯網功能則是經過這個隱藏在公共系統之後的保護軟體來進行的。一般來說,這種「防火牆」是最不容易被破壞的。
與「防火牆」配合使用的安全技術還有數據加密技術。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破壞所採用的主要技術手段之一。隨著信息技術的發展,網路安全與信息保密日益引起人們的關注。各國除了從法律上、管理上加強數據的安全保護外,從技術上分別在軟體和硬體兩方面採取措施,推動著數據加密技術和物理防範技術的不斷發展。按作用不同,數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術4種。
與數據加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡就是密鑰的一種媒體,一般就像信用卡一樣,由授權用戶所持有並由該用戶賦予它一個口令或密碼字。該密碼字與內部網路伺服器上注冊的密碼一致。當口令與身份特徵共同使用時,智能卡的保密性能還是相當有效的。
這些網路安全和數據保護的防範措施都有一定的限度,並不是越安全就越可靠。因而,看一個內部網是否安全時不僅要考慮其手段,而更重要的是對該網路所採取的各種措施,其中不僅是物理防範,而且還有人員素質等其他「軟」因素,進行綜合評估,從而得出是否安全的結論。
安全服務
對等實體認證服務
訪問控制服務
數據保密服務
數據完整性服務
數據源點認證服務
禁止否認服務
安全機制
加密機制
數字簽名機制
訪問控制機制
數據完整性機制
認證機制
信息流填充機制
路由控制機制
公證機制
計算機網路通常由以下幾個部分組成:
硬體:包括計算機、路由器、交換機、數據機等硬體設備,用於在網路中傳輸和處理數據。
1、軟體:包括操作系統、網路協議、網路服務、應用程序等軟體,用於控制網路硬體設備的操作,並提供各種網路服務。
2、協議:網路協議規定了網路中數據的傳輸方式和處理方式。常見的協議包括TCP/IP協議、HTTP協議、FTP協議、SMTP協議等。
3、拓撲結構:網路拓撲結構指的是網路中各個設備之間的物理連接方式。常見的拓撲結構包括星型拓撲、匯流排型拓撲、環型拓撲等。
4、網路服務:網路服務是網路中的各種應用程序,包括電子郵件、文件傳輸、遠程登錄、網頁瀏覽等服務。
5、安全機制:網路安全是網路中一個重要的方面,包括防火牆、加密技術、身份認證、訪問控制等安全機制,用於保護網路中的數據和設備免受攻擊和威脅。
總之,計算機網路是由硬體、軟體、協議、拓撲結構、網路服務和安全機制等多個組成部分構成的復雜系統。這些組成部分相互作用,共同實現了計算機網路中的數據傳輸、處理、存儲和管理等功能。
-------FunNet超有趣學網路
3. 網路安全機制包括些什麼
網路安全機制包括接入管理、安全監視和安全恢復三個方面。
接入管理主要處理好身份管理和接入控制,以控制信息資源的使用;安全監視主要功能有安全報警設置以及檢查跟蹤;安全恢復主要是及時恢復因網路故障而丟失的信息。
接入或訪問控制是保證網路安全的重要手段,它通過一組機制控制不同級別的主體對目標資源的不同授權訪問,在對主體認證之後實施網路資源的安全管理使用。
網路安全的類型
(1)系統安全
運行系統安全即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行。避免因為系統的崩潰和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻,產生信息泄露,干擾他人或受他人干擾。
(2)網路信息安全
網路上系統信息的安全。包括用戶口令鑒別,用戶存取許可權控制,數據存取許可權、方式控制,安全審計。安全問題跟踩。計算機病毒防治,數據加密等。
(3)信息傳播安全
網路上信息傳播安全,即信息傳播後果的安全,包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果,避免公用網路上自由傳輸的信息失控。
(4)信息內容安全
網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。
4. 目前計算機網路狀況以及有哪些威脅及解決辦法
1無線網路存在的安全威脅
無線網路一般受到的攻擊可分為兩類:一類是關於網路訪問控制、數據機密性保護和數據完整性保護而進行的攻擊;另一類是基於無線通信網路設計、部署和維護的獨特方式而進行的攻擊。對於第一類攻擊在有線網路的環境下也會發生。可見,無線網路的安全性是在傳統有線網路的基礎上增加了新的安全性威脅。
1.1有線等價保密機制的弱點
IEEE(,電氣與電子工程師學會)制定的802.11標准中,引入WEP(WiredEquivalentPrivacy,有線保密)機制,目的是提供與有線網路中功能等效的安全措施,防止出現無線網路用戶偶然竊聽的情況出現。然而,WEP最終還是被發現了存在許多的弱點。
(1)加密演算法過於簡單。WEP中的IV(InitializationVector,初始化向量)由於位數太短和初始化復位設計,常常出現重復使用現象,易於被他人破解密鑰。而對用於進行流加密的RC4演算法,在其頭256個位元組數據中的密鑰存在弱點,容易被黑客攻破。此外,用於對明文進行完整性校驗的CRC(CyclicRendancyCheck,循環冗餘校驗)只能確保數據正確傳輸,並不能保證其是否被修改,因而也不是安全的校驗碼。
(2)密鑰管理復雜。802.11標准指出,WEP使用的密鑰需要接受一個外部密鑰管理系統的控制。網路的部署者可以通過外部管理系統控制方式減少IV的沖突數量,使無線網路難以被攻破。但由於這種方式的過程非常復雜,且需要手工進行操作,所以很多網路的部署者為了方便,使用預設的WEP密鑰,從而使黑客對破解密鑰的難度大大減少。
(3)用戶安全意識不強。許多用戶安全意識淡薄,沒有改變預設的配置選項,而預設的加密設置都是比較簡單或脆弱的,經不起黑客的攻擊。
1.2進行搜索攻擊
進行搜索也是攻擊無線網路的一種方法,現在有很多針對無線網路識別與攻擊的技術和軟體。NetStumbler軟體是第一個被廣泛用來發現無線網路的軟體。很多無線網路是不使用加密功能的,或即使加密功能是處於活動狀態,如果沒有關閉AP(wirelessAccessPoint,無線基站)廣播信息功能,AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息,如網路名稱、SSID(SecureSetIdentifier,安全集標識符)等可給黑客提供入侵的條件。
1.3信息泄露威脅
泄露威脅包括竊聽、截取和監聽。竊聽是指偷聽流經網路的計算機通信的電子形式,它是以被動和無法覺察的方式入侵檢測設備的。即使網路不對外廣播網路信息,只要能夠發現任何明文信息,攻擊者仍然可以使用一些網路工具,如AiroPeek和TCPDump來監聽和分析通信量,從而識別出可以破解的信息。
1.4無線網路身份驗證欺騙
欺騙這種攻擊手段是通過騙過網路設備,使得它們錯誤地認為來自它們的連接是網路中一個合法的和經過同意的機器發出的。達到欺騙的目的,最簡單的方法是重新定義無線網路或網卡的MAC地址。
由於TCP/IP(TransmissionControlProtocol/InternetProtocol,傳輸控制協議/網際協議)的設計原因,幾乎無法防止MAC/IP地址欺騙。只有通過靜態定義MAC地址表才能防止這種類型的攻擊。但是,因為巨大的管理負擔,這種方案很少被採用。只有通過智能事件記錄和監控日誌才可以對付已經出現過的欺騙。當試圖連接到網路上的時候,簡單地通過讓另外一個節點重新向AP提交身份驗證請求就可以很容易地欺騙無線網身份驗證。
1.5網路接管與篡改
同樣因為TCP/IP設計的原因,某些欺騙技術可供攻擊者接管為無線網上其他資源建立的網路連接。如果攻擊者接管了某個AP,那麼所有來自無線網的通信量都會傳到攻擊者的機器上,包括其他用戶試圖訪問合法網路主機時需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線網或無線網進行遠程訪問,而且這種攻擊通常不會引起用戶的懷疑,用戶通常是在毫無防範的情況下輸人自己的身份驗證信息,甚至在接到許多SSL錯誤或其他密鑰錯誤的通知之後,仍像是看待自己機器上的錯誤一樣看待它們,這讓攻擊者可以繼續接管連接,而不容易被別人發現。
1.6拒絕服務攻擊
無線信號傳輸的特性和專門使用擴頻技術,使得無線網路特別容易受到DoS(DenialofService,拒絕服務)攻擊的威脅。拒絕服務是指攻擊者惡意佔用主機或網路幾乎所有的資源,使得合法用戶無法獲得這些資源。黑客要造成這類的攻擊:①通過讓不同的設備使用相同的頻率,從而造成無線頻譜內出現沖突;②攻擊者發送大量非法(或合法)的身份驗證請求;③如果攻擊者接管AP,並且不把通信量傳遞到恰當的目的地,那麼所有的網路用戶都將無法使用網路。無線攻擊者可以利用高性能的方向性天線,從很遠的地方攻擊無線網。已經獲得有線網訪問權的攻擊者,可以通過發送多達無線AP無法處理的通信量進行攻擊。
1.7用戶設備安全威脅
由於IEEE802.11標准規定WEP加密給用戶分配是一個靜態密鑰,因此只要得到了一塊無線網網卡,攻擊者就可以擁有一個無線網使用的合法MAC地址。也就是說,如果終端用戶的筆記本電腦被盜或丟失,其丟失的不僅僅是電腦本身,還包括設備上的身份驗證信息,如網路的SSID及密鑰。
2無線網路採用的安全技術
採用安全技術是消除無線網路安全威脅的一種有效對策。無線網路的安全技術主要有七種。
2.1擴展頻譜技術
擴頻技術是用來進行數據保密傳輸,提供通訊安全的一種技術。擴展頻譜發送器用一個非常弱的功率信號在一個很寬的頻率范圍內發射出去,與窄帶射頻相反,它將所有的能量集中到一個單一的頻點。
一些無線區域網產品在ISM波段為2.4~2.483GHz范圍內傳輸信號,在這個范圍內可以得到79個隔離的不同通道,無線信號被發送到成為隨機序列排列的每一個通道上(例如通道1、18、47、22……)。無線電波每秒鍾變換頻率許多次,將無線信號按順序發送到每一個通道上,並在每一通道上停留固定的時間,在轉換前要覆蓋所有通道。如果不知道在每一通道上停留的時間和跳頻圖案,系統外的站點要接收和解碼數據幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數量可以使相鄰的不相交的幾個無線網路之間沒有相互干擾,因而不用擔心網路上的數據被其他用戶截獲。
2.2用戶密碼驗證
為了安全,用戶可以在無線網路的適配器端使用網路密碼控制。這與WindowsNT提供的密碼管理功能類似。由於無線網路支持使用筆記本或其他移動設備的漫遊用戶,所以嚴格的密碼策略等於增加一個安全級別,這有助於確保工作站只被授權用戶使用。
2.3數據加密
數據加密技術的核心是藉助於硬體或軟體,在數據包被發送之前就加密,只有擁有正確密鑰的工作站才能解密並讀出數據。此技術常用在對數據的安全性要求較高的系統中,例如商業用或軍用的網路,能有效地起到保密作用。
此外,如果要求整體的安全保障,比較好的解決辦法也是加密。這種解決方案通常包括在有線網路操作系統中或無線區域網設備的硬體或軟體的可選件中,由製造商提供,另外還可選擇低價格的第三方產品,為用戶提供最好的性能、服務質量和技術支持。
2.4WEP配置
WEP是IEEE802.11b協議中最基本的無線安全加密措施,其主要用途包括提供接入控制及防止未授權用戶訪問網路;對數據進行加密,防止數據被攻擊者竊聽;防止數據被攻擊者中途惡意篡改或偽造。此外,WEP還提供認證功能。
5. 關於計算機網路安全制度有哪些
網路安全管理機構和制度 網路安全管理機構和規章制度是網路安全的組織與制度保障。網路安全管理的制度包括人事資源管理、資產物業管理、教育培訓、資格認證、人事考核鑒定製度、動態運行機制、日常工作規范、崗位責任制度等。建立健全網路安全管理機構和各項規章制度,需要做好以下幾個方面。 1.完善管理機構和崗位責任制 計算機網路系統的安全涉及整個系統和機構的安全、效益及聲譽。系統安全保密工作最好由單位主要領導負責,必要時設置專門機構,如安全管理中心SOC等,協助主要領導管理。重要單位、要害部門的安全保密工作分別由安全、保密、保衛和技術部門分工負責。所有領導機構、重要計算機系統的安全組織機構,包括安全審查機構、安全決策機構、安全管理機構,都要建立和健全各項規章制度。 完善專門的安全防範組織和人員。各單位須建立相應的計算機信息系統安全委員會、安全小組、安全員。安全組織成員應由主管領導、公安保衛、信息中心、人事、審計等部門的工作人員組成,必要時可聘請相關部門的專家組成。安全組織也可成立專門的獨立、認證機構。對安全組織的成立、成員的變動等應定期向公安計算機安全監察部門報告。對計算機信息系統中發生的案件,應當在規定時間內向當地區(縣)級及以上公安機關報告,並受公安機關對計算機有害數據防治工作的監督、檢查和指導。 制定各類人員的崗位責任制,嚴格紀律、管理和分工的原則,不準串崗、兼崗,嚴禁程序設計師同時兼任系統操作員,嚴格禁止系統管理員、終端操作員和系統設計人員混崗。 專職安全管理人員具體負責本系統區域內安全策略的實施,保證安全策略的長期有效:負責軟硬體的安裝維護、日常操作監視,應急條件下安全措施的恢復和風險分析等;負責整個系統的安全,對整個系統的授權、修改、特權、口令、違章報告、報警記錄處理、控制台日誌審閱負責,遇到重大問題不能解決時要及時向主管領導報告。 安全審計人員監視系統運行情況,收集對系統資源的各種非法訪問事件,並對非法事件進行記錄、分析和處理。必要時將審計事件及時上報主管部門。 保安人員負責非技術性常規安全工作,如系統周邊的警衛、辦公安全、出入門驗證等。 2.健全安全管理規章制度 建立健全完善的安全管理規章制度,並認真貫徹落實非常重要。常用的網路安全管理規章制度包括以下7個方面: 1)系統運行維護管理制度。包括設備管理維護制度、軟體維護制度、用戶管理制度、密鑰管理制度、出入門衛管理值班制度、各種操作規程及守則、各種行政領導部門的定期檢查或監督制度。機要重地的機房應規定雙人進出及不準單人在機房操作計算機的制度。機房門加雙鎖,保證兩把鑰匙同時使用才能打開機房。信息處理機要專機專用,不允許兼作其他用途。終端操作員因故離開終端必須退出登錄畫面,避免其他人員非法使用。 2)計算機處理控制管理制度。包括編制及控制數據處理流程、程序軟體和數據的管理、拷貝移植和存儲介質的管理,文件檔案日誌的標准化和通信網路系統的管理。 3)文檔資料管理。各種憑證、單據、賬簿、報表和文字資科,必須妥善保管和嚴格控制;交叉復核記賬;各類人員所掌握的資料要與其職責一致,如終端操作員只能閱讀終端操作規程、手冊,只有系統管理員才能使用系統手冊。 4)操作及管理人員的管理制度。建立健全各種相關人員的管理制度,主要包括: ① 指定具體使用和操作的計算機或伺服器,明確工作職責、許可權和范圍; ② 程序員、系統管理員、操作員崗位分離且不混崗; ③ 禁止在系統運行的機器上做與工作無關的操作; ④ 不越權運行程序,不查閱無關參數; ⑤ 當系統出現操作異常時應立即報告; ⑥ 建立和完善工程技術人員的管理制度; ⑦ 當相關人員調離時,應採取相應的安全管理措施。如人員調離的時馬上收回鑰匙、移交工作、更換口令、取消賬號,並向被調離的工作人員申明其保密義務。 5) 機房安全管理規章制度。建立健全的機房管理規章制度,經常對有關人員進行安全教育與培訓,定期或隨機地進行安全檢查。機房管理規章制度主要包括:機房門衛管理、機房安全工作、機房衛生工作、機房操作管理等。 6)其他的重要管理制度。主要包括:系統軟體與應用軟體管理制度、數據管理制度、密碼口令管理制度、網路通信安全管理制度、病毒的防治管理制度、實行安全等級保護制度、實行網路電子公告系統的用戶登記和信息管理制度、對外交流維護管理制度等。 7)風險分析及安全培訓 ① 定期進行風險分析,制定意外災難應急恢復計劃和方案。如關鍵技術人員的多種聯絡方法、備份數據的取得、系統重建的組織。 ② 建立安全考核培訓制度。除了應當對關鍵崗位的人員和新員工進行考核之外,還要定期進行計算機安全方面的法律教育、職業道德教育和計算機安全技術更新等方面的教育培訓。 對於從事涉及國家安全、軍事機密、財政金融或人事檔案等重要信息的工作人員更要重視安全教育,並應挑選可靠素質好的人員擔任。 3.堅持合作交流制度 計算機網路在快速發展中,面臨嚴峻的安全問題。維護互聯網安全是全球的共識和責任,網路運營商更負有重要責任,應對此高度關注,發揮互聯網積極、正面的作用,包括對青少年在內的廣大用戶負責。各級政府也有責任為企業和消費者創造一個共享、安全的網路環境,同時也需要行業組織、企業和各利益相關方的共同努力。因此,應當大力加強與相關業務往來單位和安全機構的合作與交流,密切配合共同維護網路安全,及時獲得必要的安全管理信息和專業技術支持與更新。國內外也應當進一步加強交流與合作,拓寬網路安全國際合作渠道,建立政府、網路安全機構、行業組織及企業之間多層次、多渠道、齊抓共管的合作機制。 拓展閱讀:網路安全技術及應用(第2版)機械工業出版社 賈鐵軍主編 上海優秀教材獎